【勒索病毒】国产“UNNAMED1989”勒索病毒已被攻破，360解密大师支持解密

​​​360解密大师在这里：360安全卫士-功能大全中搜索“360解密大师”即可下载。



一款国人自主研发的勒索病毒——“UNNAMED1989”，踩着2018年11月份最后一天的小尾巴，成功登上360互联网安全中心接收关键词的“光荣榜”。它很可能通过伪造成私服相关工具进行传播，一旦中招，加密文件里就会留下一个这样的图标—“解密工具”，以引导用户支付赎金。




该工具要求用户通过微信“扫一扫”功能支付110元人民币的赎金，然后提交微信转账单号，黑客确认了支付信息后再通过该工具进行解密。截至本文编写时，黑客用于收款的微信二维码已经被微信官方冻结：



经分析人员分析发现，该勒索病毒不仅收款方式非常中国化，加密的方法也开始走简约路线了。该病毒加密文件时采用了较为原始的异或加密方法，运行后会将特定标识符、版本信息以及随机字符串进行简单处理后存放到C:\Users\unname_1989\dataFile\appCfg.cfg文件中。


而病毒开始加密后，会从appCfg.cfg文件的第120字节处读取数据，与病毒自身硬编码的特定字符串进行按位异或，生成密钥。再用这个密钥循环与待加密文件的内容进行异或加密操作。



​由于异或算法是一种非常简单的对称加密算法，所以对该勒索病毒的技术性解密也就成为了可能。

此外，360安全大脑针对该勒索病毒作出如下提示：

1.    请勿轻信外挂或私服所声称的“杀毒软件误报论”，不要轻易把此类程序添加到信任列表中。

2.    由于用于加密的密钥被存放在C:\Users\unname_1989\dataFile\appCfg.cfg文件中，故请中招用户妥善保存该文件，以免被加密文件无法还原。

3.    及时修复漏洞。服务器管理者不仅应当修复系统漏洞，还需要修复Web应用、数据库等在服务器中安装的各类应用平台的漏洞，关注厂商的安全更新。

4.    360安全卫士能有效拦截该勒索病毒的攻击，用户应及时安装以免遭损失。


5.360解密大师已经支持对此勒索病毒的解密，已经中招的用户，可以在安全卫士--功能大全中搜索下载“360解密大师”解密被加密的文件。

秘钥删过的就解密不了了，先备份文件等后续看看能不能解密吧..

无法解密！！

我把C盘的密钥删除过 但是现在又出来了 是不是恢复不了了？现在我扫描还是扫不出来加密文件

不行啊，之前用急救箱处理过，勒索弹框没有了，但现在照片文档还是打不开，有些应用系统也出现已停止应用打不开的情况。

不行啊，我第一时间用了杀毒，然后现在恢复不出来啊。。。。照片和文档还是打不开！还是360自动杀的

真良心，密钥直接本地存放。

病毒作者也是智商有问题，敢用微信来勒索，分分钟被受害人举报冻结啦。支付宝微信都要是实名才能用那些收钱转账功能的

本版本支持卡刷和线刷，同版本、跨版本均可卡刷、线刷，卡刷失败的请线刷。降级则请线刷最新版本。

想咨询一下目前 .adobe 的变种是否有短期解密的可能

你好，请问这是中毒了吗？

又说能解密，又说不能解密，到底怎么回事？